我目前正在使用 procmon 来追踪涉及网络文件的问题。本地网络上的另一台 PC 将小型“命令”文件写入目标计算机,然后目标计算机使用这些文件 - 即读取、执行和删除这些文件。
还有另一个文件每秒更新一次目标机器并被其他网络机器读取。
运行一段时间后,网络计算机将无法访问它们从目标计算机读取的文件。该文件将被永久锁定 - 主机无法再更新它(共享冲突)。问题似乎与 MsMpEng.exe(Microsoft Security Essentials)在命令文件首次出现时尝试抓取它有关,但我想将发生的事情与传入的请求联系起来。Procmon 似乎没有显示这些。
是否可以将 ProcMon 配置为捕获来自网络计算机对本地文件系统的访问?它是否与默认添加到新过滤器的神秘排除块有关?
答案1
来自 Windows Internals
默认情况下,Procmon 以基本模式启动,并省略显示某些文件系统操作,包括
- NTFS 元数据文件的 I/O
- 分页文件的 I/O
- 系统进程产生的I/O
- 进程监视器进程生成的 I/O。
要捕获来自网络的传入文件访问,您需要查看系统进程生成的 I/O。要查看该内容,请使用菜单将 Procmon 切换到高级模式Filter -> Enable Advanced Output。